Hallo,
ich hoffe, das ist das richtige Forum dazu - ich würde gerne um Meinungen fragen. Es geht um die Methode, ein vergessenes Passwort zuzusenden. Die Webseite ist ein kleiner Spiele-Server, also nichts mit maximaler Sicherheit.
Beim Registrieren gibt der neue Benutzer einen gewünschten Account-Namen, eine gültige Email-Adresse und ein Passwort ein. Diese 3 Daten sind Pflicht, und werden auch gespeichert. Email und Account-Name sind eindeutig und dürfen nur einmal existieren. Account-Name und Email werden nirgendwo angezeigt, sind also nur dem Benutzer selbst bekannt, anderen Benutzern nicht.
Eingeloggt wird mit Account-Name und Passwort.
Wenn der Benutzer sein Passwort nicht mehr weiß, muss man es ihm wieder geben, bzw. neu setzen. Darum geht es hier:
Ich habe eine (fertige) Lösung, bei der als Standard vom Benutzer seine Email-Adresse verlangt wird. Wenn die stimmt, wird das Passwort, das zum Account mit dieser Email-Adresse gehört, neu erstellt und zu dieser Email-Adresse gesendet.
Ehrlich gesagt, finde ich das nicht so toll - wenn jemand eine Email-Adresse kennt oder errät, kann er den Benutzer belästigen, weil der dann dauernd Emails bekommt, die er nicht angefordert hat.
Deswegen werde ich das wohl so abändern, dass der Benutzer seinen Account-Namen UND die Email-Adrese eingeben muss. Wenn beides zusammenpasst und ein Account gefunden wird, bekommt er das neue Passwort gesetzt und zugesandt.
Nun bitte ich um Meinungen - wie seht ihr das?
(Bitte keine Two-Factor Geschichten usw., das wird hier nicht gebraucht. Einfach die beiden Methoden vergleichen.)
Danke
ich hoffe, das ist das richtige Forum dazu - ich würde gerne um Meinungen fragen. Es geht um die Methode, ein vergessenes Passwort zuzusenden. Die Webseite ist ein kleiner Spiele-Server, also nichts mit maximaler Sicherheit.
Beim Registrieren gibt der neue Benutzer einen gewünschten Account-Namen, eine gültige Email-Adresse und ein Passwort ein. Diese 3 Daten sind Pflicht, und werden auch gespeichert. Email und Account-Name sind eindeutig und dürfen nur einmal existieren. Account-Name und Email werden nirgendwo angezeigt, sind also nur dem Benutzer selbst bekannt, anderen Benutzern nicht.
Eingeloggt wird mit Account-Name und Passwort.
Wenn der Benutzer sein Passwort nicht mehr weiß, muss man es ihm wieder geben, bzw. neu setzen. Darum geht es hier:
Ich habe eine (fertige) Lösung, bei der als Standard vom Benutzer seine Email-Adresse verlangt wird. Wenn die stimmt, wird das Passwort, das zum Account mit dieser Email-Adresse gehört, neu erstellt und zu dieser Email-Adresse gesendet.
Ehrlich gesagt, finde ich das nicht so toll - wenn jemand eine Email-Adresse kennt oder errät, kann er den Benutzer belästigen, weil der dann dauernd Emails bekommt, die er nicht angefordert hat.
Deswegen werde ich das wohl so abändern, dass der Benutzer seinen Account-Namen UND die Email-Adrese eingeben muss. Wenn beides zusammenpasst und ein Account gefunden wird, bekommt er das neue Passwort gesetzt und zugesandt.
Nun bitte ich um Meinungen - wie seht ihr das?
(Bitte keine Two-Factor Geschichten usw., das wird hier nicht gebraucht. Einfach die beiden Methoden vergleichen.)
Danke